Национальный координационный центр по компьютерным инцидентам подготовил ряд рекомендаций в связи с растущим числом кибератак на веб-приложения в Рунете.
«По каналам НКЦКИ поступает информация о массированных компьютерных атаках на веб-приложения в российском сегменте сети Интернет, в том числе через внешние компоненты кода веб-страниц. К таким компонентам могут относиться подключаемые JavaScript-библиотеки, CSS-фреймворки, плагины защиты от вредоносной активности, информационные и аналитические плагины (новостные ленты, интерактивные карты, подсчёт посещений информационного ресурса и т. д.), а также веб-шрифты, подгружаемые со сторонних серверов», — рассказали в НКЦКИ.
Кроме «ожидаемых» методов — внедрения кода для взлома и использования некорректных настроек компонентов веб-приложений — злоумышленники могут скомпрометировать инфраструктуру размещения легитимного кода сторонних компонентов и подменить код на вредоносный.
Центр порекомендовал авторизованному пользователю приложения организовать возможность самостоятельного завершения сеанса и доступ к защищённым ресурсам приложения только после прохождения процедуры аутентификации.
Помимо этого, важно обеспечить гарантированное удаление идентификатора соответствующей сессии по завершении сеанса работы приложения, а данные пользователей приложения хранить только под криптозащитой. Плюс, предложено исключить хранение аутентификационных данных в файлах и HTML-страницах, доступных по URL.
(1).png)